¿Tienes la sospecha de que otras personas pueden leer o incluso enviar mensajes desde tu cuenta? En los entornos corporativos de Microsoft 365 es común delegar a asistentes o compañeros el acceso a un buzón; sin embargo, estos permisos deben revisarse con frecuencia para evitar filtraciones o acciones no autorizadas.
Por qué es importante revisar los permisos de tu buzón
Un buzón de correo suele contener contratos, datos personales y comunicaciones estratégicas. Cualquier acceso delegado indebido pone en riesgo la confidencialidad, puede violar normativas (p. ej., GDPR, ISO 27001) y afectar la reputación de la empresa. Además, los atacantes que obtienen acceso completo a un buzón pueden:
- Descargar grandes volúmenes de mensajes y adjuntos.
- Configurar reglas ocultas de reenvío para el espionaje continuo.
- Usar la función Enviar como para suplantar tu identidad y lanzar ataques internos.
Diferentes formas de acceso delegado en Outlook y Exchange Online
Delegación a nivel de buzón
Otorga permiso de lectura o control total sobre todas las carpetas, incluida la Bandeja de entrada. Es la forma más común en entornos corporativos.
Permisos por carpeta
Permite que un usuario acceda solo a una carpeta concreta, por ejemplo, Calendario o Elementos enviados. Es útil cuando se busca limitar la exposición de información.
Envío en nombre de y Envío como
Envío en nombre de: el destinatario ve “Usuario A en nombre de Usuario B” en el campo <De>.
Envío como: el mensaje parece provenir directamente de tu dirección; el destinatario no visualiza al delegado. Este segundo permiso conlleva más riesgo de suplantación.
Señales de que alguien podría estar leyendo tu correo
- Cambios en mensajes marcados como leídos cuando no los has abierto.
- Reglas nuevas o modificadas sin tu intervención.
- Elementos en Elementos enviados que no recuerdas haber redactado.
- alertas de inicio de sesión desde ubicaciones inusuales.
Método rápido en la nueva aplicación de Outlook para Windows
- Haz clic derecho sobre tu cuenta en el panel lateral izquierdo.
- Selecciona Compartir y permisos.
- En la ventana emergente se listan todas las personas con roles como Lectura, Envío o Control total.
Si ves un nombre desconocido, anota la información antes de retirarle el acceso; así podrás rastrear cuándo y por qué se asignó.
Revisión detallada en Outlook en la web
- Abre Outlook en el navegador y pulsa el engranaje (Configuración).
- Busca Correo ▸ Cuentas ▸ Acceso delegado.
- Expande los apartados Personas a las que les he concedido acceso y Personas que me han concedido acceso.
La ventaja de la versión web es que refleja los cambios casi en tiempo real y no depende de la caché de la aplicación de escritorio.
Uso del Outlook clásico de escritorio
Si aún empleas la interfaz Win32:
- Haz clic en Archivo ▸ Configuración de la cuenta ▸ Delegar acceso.
- En la lista verás cada usuario y su nivel de permisos (Revisor, Autor, Editor).
Recuerda que los permisos aplicados aquí solo afectan a tu perfil principal; si posees buzones secundarios o compartidos, tendrás que revisarlos uno por uno.
Revisión en el Centro de administración de Exchange Online
Exploración de permisos con interfaz gráfica
- Entra al portal de administración de Microsoft 365 con credenciales de administrador.
- Navega a Destinatarios ▸ Buzones y selecciona tu cuenta.
- En el panel derecho, abre Permisos de buzón. Se mostrarán:
- Acceso completo (Lectura y escritura de todo el buzón)
- Enviar como
- Enviar en nombre de
Uso de PowerShell para listar permisos
El shell remota de Exchange Online permite inspeccionar cientos de buzones rápidamente y exportar resultados. Conéctate con Connect-ExchangeOnline y ejecuta:
Get-MailboxPermission -Identity "usuario@empresa.com" |
Where-Object { $.AccessRights -match "FullAccess" -and $.User -ne "NT AUTHORITY\SELF" }
Para revisar Enviar como:
Get-RecipientPermission -Identity "usuario@empresa.com" |
Where-Object { $_.Trustee -ne "NT AUTHORITY\SELF" }
Cómo revocar un acceso no autorizado
Desde Outlook
Vuelve a la sección Compartir y permisos, selecciona el usuario sospechoso y pulsa Quitar.
Desde el Centro de administración
- En Permisos de buzón selecciona la entrada y elige Eliminar.
- Guarda los cambios; la revocación es casi instantánea.
Con PowerShell
Para eliminar un permiso FullAccess:
Remove-MailboxPermission -Identity "usuario@empresa.com" ` -User "sospechoso@empresa.com" -AccessRights FullAccess
Aplica el mismo patrón para los cmdlets Remove-RecipientPermission o Remove-SendAsPermission, según el caso.
Habilitar auditoría y alertas
La auditoría avanzada de Exchange Online guarda automáticamente los eventos de acceso, pero es recomendable verificar que la casilla de auditoría predefinida esté activa:
Set-OrganizationConfig -AuditDisabled $false
Después, crea políticas de alerta en el Centro de cumplimiento (Compliance Center) para que te llegue un correo cuando alguien obtenga Acceso completo o configure reglas de reenvío externo.
Buenas prácticas para prevenir intrusiones futuras
| Medida | Cómo ayuda |
|---|---|
| Autenticación multifactor (MFA) | Evita que un atacante con tu contraseña inicie sesión y otorgue permisos adicionales. |
| Contraseñas robustas y renovadas | Reduce la probabilidad de filtraciones por fuerza bruta o ataques de diccionario. |
| Revisión trimestral de delegados | Detecta permisos obsoletos de antiguos empleados o proveedores. |
| Limitación de permisos “Enviar como” | Disminuye el riesgo de suplantación interna. |
| Reglas DLP y retención | Evitan la salida de información sensible y garantizan trazabilidad. |
Preguntas frecuentes
¿Puedo saber qué correos leyó el delegado?
Sí. Activa la auditoría unificada y revisa los registros de MailboxAccess. Verás qué mensajes se abrieron, desde qué dirección IP y en qué momento.
¿Qué diferencia hay entre Envío en nombre de y Envío como?
La primera opción añade transparencia porque el destinatario ve tanto al delegado como al titular; la segunda oculta la identidad del delegado y se debe limitar a casos excepcionales.
¿Los permisos expirarán automáticamente cuando el usuario deje la empresa?
No necesariamente. Al deshabilitar una cuenta, Exchange conserva el objeto hasta que se elimine de forma permanente. Por eso, conviene revisar permisos durante el off‑boarding y borrar entradas huérfanas.
Conclusiones
Verificar periódicamente quién tiene acceso a tu buzón es una tarea esencial de higiene de seguridad. Con los pasos descritos —desde la inspección rápida en Outlook hasta la auditoría detallada con PowerShell— podrás identificar y revocar permisos sospechosos en minutos. Asegura tu buzón hoy mismo, activa la auditoría y mantén buenas prácticas de MFA y contraseñas fuertes para minimizar riesgos a largo plazo.